Gabriel
Qu’est-ce qui vient juste de se passer? Cette semaine, deux hackers néerlandais ont remporté le championnat Pwn2Own de cette année. Il s’agit de leur quatrième victoire au concours annuel de Miami, en Floride. Cette année a été leur plus grande victoire, l’équipe empochant 90 000 $ et le trophée du championnat. La paire a également remporté des prix en 2012, 2018 et 2021. Cependant, dans ce cas, ce n’est pas ce qu’ils ont gagné. C’est la façon dont ils ont gagné qui est une nouvelle, et c’est quelque peu troublant.
Au Pwn2Own de cette année, les chercheurs en sécurité Daan Keuper et Thijs Alkemade ont décidé de s’attaquer à un logiciel de contrôle industriel appelé « OPC UA ». Ce protocole de communication open source est utilisé dans le monde entier pour connecter des systèmes industriels tels que des réseaux électriques et d’autres infrastructures critiques.
C’est assez troublant de savoir que Keuper et Alkemade ont pu s’introduire dans OPC UA, mais c’est encore plus troublant qu’ils aient dit que c’était étonnamment le système « le plus simple » qu’ils avaient piraté lors de la conférence.
« Dans les systèmes de contrôle industriels, il y a encore tellement de fruits à portée de main », a déclaré Keuper au MIT Technology Test. « La sécurité est à la traîne. »
« C’est certainement un environnement plus facile à opérer », a ajouté Alkemade.
Daan Keuper et Thijs Alkemade recevant leur trophée et vestes Master of Pwn.
Le duo a attaqué plusieurs autres systèmes d’infrastructure, mais il n’a fallu que deux jours pour casser OPC UA.
« OPC UA est utilisé partout dans le monde industriel comme connecteur entre les systèmes », a déclaré Keuper. « C’est un composant tellement central des réseaux industriels typiques, et nous pouvons contourner l’authentification normalement requise pour lire ou modifier quoi que ce soit. C’est pourquoi les gens l’ont trouvé le plus important et le plus intéressant. Il n’a fallu que quelques jours pour le trouver. »
Le fait qu’il n’ait fallu que deux pirates informatiques par week-end pour infiltrer un système chargé de contrôler nos systèmes électriques, hydrauliques et nucléaires est particulièrement effrayant compte tenu de l’agitation en Ukraine. Le mois dernier, la Maison Blanche a averti les entreprises américaines de renforcer leurs cyberdéfense au cas où la Russie tenterait de riposter aux sanctions américaines.
Technology Test n’a pas précisé si les développeurs avaient déjà corrigé la faille. Cependant, l’hôte du concours Pwn2Own, Zero Day Initiative, a pour politique de « récompenser les chercheurs pour la divulgation privée de vulnérabilités ». Donc vraisemblablement, les réseaux électriques sont sûrs pour l’instant.